Partilhar via

Encriptar dados armazenados

Este conteúdo aplica-se a:marca de verificaçãocheckmarkcheckmarkv4.0 (GA) v3.1 (GA)marca de verificaçãov3.0 (GA)marca de verificaçãov2.1 (GA)

Importante

  • As versões anteriores das chaves geridas pelo cliente (CMK) apenas encriptavam os seus modelos.
  • A partir do lançamento 07/31/2023, todos os novos recursos utilizam chaves geridas pelo cliente para criptografar tanto os modelos quanto os resultados dos documentos.
  • Excluir resposta de análise. o analyze response é armazenado por 24 horas a partir de quando a operação é concluída para recuperação. Para cenários em que deseja excluir a resposta o mais brevemente possível, use a API de exclusão de análise de resposta para eliminar a resposta.
  • Para atualizar um serviço existente para criptografar os modelos e os dados, desative e reative a chave gerenciada pelo cliente.

O Azure Document Intelligence no Foundry Tools encripta automaticamente os seus dados quando os persiste na cloud. A criptografia Document Intelligence protege seus dados para ajudá-lo a cumprir seus compromissos organizacionais de segurança e conformidade.

Sobre a encriptação da Foundry Tools

Os dados são criptografados e descriptografados usando criptografia AES de 256 bits compatível com FIPS 140-2. A encriptação e a desencriptação são transparentes, o que significa que a encriptação e o acesso são geridos por si. Os seus dados estão seguros por predefinição. Não precisa de modificar o seu código ou aplicações para tirar partido da encriptação.

Sobre o gerenciamento de chaves de criptografia

Por predefinição, a subscrição utiliza chaves de encriptação geridas pela Microsoft. Você também pode gerenciar sua assinatura com suas próprias chaves, que são chamadas de chaves gerenciadas pelo cliente. Ao usar chaves gerenciadas pelo cliente, você tem maior flexibilidade na maneira como cria, gira, desabilita e revoga controles de acesso. Você também pode auditar as chaves de criptografia que usa para proteger seus dados. Se as chaves gerenciadas pelo cliente estiverem configuradas para sua assinatura, a criptografia dupla será fornecida. Com essa segunda camada de proteção, você pode controlar a chave de criptografia por meio do Cofre da Chave do Azure.

Importante

  • As chaves gerenciadas pelo cliente são apenas recursos disponíveis criados após 11 de maio de 2020. Para usar chaves gerenciadas pelo cliente com o Document Intelligence, você precisa criar um novo recurso de Document Intelligence. Depois que o recurso for criado, você poderá usar o Cofre da Chave do Azure para configurar sua identidade gerenciada.
  • O escopo para dados criptografados com chaves gerenciadas pelo cliente inclui o analysis response armazenado por 24 horas, permitindo que os resultados da operação sejam recuperados durante esse período de 24 horas.

Chaves geridas pelo cliente com o Azure Key Vault

Ao usar chaves gerenciadas pelo cliente, você deve usar o Cofre de Chaves do Azure para armazená-las. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves para gerar chaves. O recurso Foundry Tools e o cofre de chaves devem estar na mesma região e no mesmo tenant Microsoft Entra, mas podem estar em subscrições diferentes. Para obter mais informações sobre o Cofre da Chave, consulte O que é o Cofre da Chave do Azure?.

Quando cria um novo recurso Foundry Tools, ele é sempre encriptado usando chaves geridas pela Microsoft. Não é possível habilitar chaves gerenciadas pelo cliente ao criar o recurso. As chaves gerenciadas pelo cliente são armazenadas no Cofre de Chaves. O cofre de chaves precisa de estar equipado com políticas de acesso que concedam permissões de chave à identidade gerida associada ao recurso Foundry Tools. A identidade gerenciada estará disponível somente depois que o recurso for criado usando a camada de preços necessária para chaves gerenciadas pelo cliente.

Habilitar chaves gerenciadas pelo cliente também permite uma identidade gerenciada atribuída ao sistema, um recurso do Microsoft Entra ID. Depois que a identidade gerenciada atribuída ao sistema é habilitada, esse recurso é registrado com a ID do Microsoft Entra. Depois de registrada, a identidade gerenciada recebe acesso ao cofre de chaves selecionado durante a configuração da chave gerenciada pelo cliente.

Importante

Se você desabilitar as identidades gerenciadas atribuídas pelo sistema, o acesso ao cofre de chaves será removido e todos os dados criptografados com as chaves do cliente não estarão mais acessíveis. Todos os recursos que dependem desses dados param de funcionar.

Importante

As identidades geridas não suportam atualmente cenários em vários diretórios. Quando você configura chaves gerenciadas pelo cliente no portal do Azure, uma identidade gerenciada é atribuída automaticamente nos bastidores. Se, posteriormente, você mover a assinatura, o grupo de recursos ou o recurso de um diretório do Microsoft Entra para outro, a identidade gerenciada associada ao recurso não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente podem não funcionar mais. Para obter mais informações, consulte Transferindo uma assinatura entre diretórios do Microsoft Entra em Perguntas frequentes e Problemas conhecidos com identidades gerenciadas para recursos do Azure.

Configurar o Cofre da Chave

Ao usar chaves gerenciadas pelo cliente, você precisa definir duas propriedades no cofre de chaves, Excluir suavemente e Não limpar. Essas propriedades não são habilitadas por padrão, mas você pode habilitá-las em um cofre de chaves novo ou existente usando o portal do Azure, o PowerShell ou a CLI do Azure.

Importante

Se as propriedades de Soft Delete e Não Purgar não estiverem ativadas e eliminares a tua chave, não consegues recuperar os dados no teu recurso Foundry Tools.

Para saber como habilitar essas propriedades em um cofre de chaves existente, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave.

Habilite chaves gerenciadas pelo cliente para seu recurso

Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:

  1. Dirija-se ao seu recurso Foundry Tools.

  2. À esquerda, selecione Criptografia.

  3. Em Tipo de criptografia, selecione Chaves gerenciadas pelo cliente, conforme mostrado na captura de tela a seguir.

    Captura de ecrã da página de definições de encriptação de um recurso do Foundry. Em Tipo de Encriptação, está selecionada a opção Chaves Geridas pelo Cliente.

Especificar uma chave

Depois de ativar as chaves geridas pelo cliente, pode especificar uma chave para associar ao recurso Foundry Tools.

Especificar uma chave como um URI

Para especificar uma chave como um URI, siga estes passos:

  1. No portal do Azure, vá para o cofre da chave.

  2. Em Configurações, selecione Teclas.

  3. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações dessa versão.

  4. Copie o valor Key Identifier , que fornece o URI.

    Captura de ecrã da página do portal do Azure para uma versão chave. A caixa Identificador de Chave contém um espaço reservado para um URI de chave.

  5. Volte ao seu recurso Foundry Tools e depois selecione Encriptação.

  6. Em Chave de criptografia, selecione Inserir URI da chave.

  7. Cole o URI copiado na caixa URI de chave.

    Captura de ecrã da página de Encriptação de um recurso da Foundry. A opção URI da tecla Enter está selecionada, e a caixa URI da chave contém um valor.

  8. Em Subscrição, selecione a subscrição que contém o cofre de chaves.

  9. Guardar as suas alterações.

Especificar uma chave a partir de um cofre de chaves

Para especificar uma chave de um cofre de chaves, primeiro certifique-se de que tem um cofre de chaves que contém uma chave. Em seguida, siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.

  2. Em Chave de encriptação, selecione Selecionar a partir do Cofre da Chave.

  3. Selecione o cofre de chaves que contém a chave que você deseja usar.

  4. Selecione a chave que deseja usar.

    Captura de ecrã da página Selecionar chave do Cofre de Chaves do Azure no portal do Azure. As caixas Assinatura, Cofre da chave, Chave e Versão contêm valores.

  5. Guardar as suas alterações.

Atualizar a versão principal

Quando crias uma nova versão de uma chave, atualiza o recurso Foundry Tools para usar a nova versão. Siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Insira o URI para a nova versão da chave. Como alternativa, você pode selecionar o cofre de chaves e, em seguida, selecionar a chave novamente para atualizar a versão.
  3. Guardar as suas alterações.

Use uma chave diferente

Para alterar a chave que utiliza para encriptação, siga estes passos:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Insira o URI da nova chave. Como alternativa, você pode selecionar o cofre de chaves e, em seguida, selecionar uma nova chave.
  3. Guardar as suas alterações.

Girar chaves gerenciadas pelo cliente

Você pode girar uma chave gerenciada pelo cliente no Cofre de chaves de acordo com suas políticas de conformidade. Quando a chave é alterada, deve atualizar o recurso Foundry Tools para utilizar o novo URI da chave. Para saber como atualizar o recurso para usar uma nova versão da chave no portal do Azure, consulte Atualizar a versão da chave.

Girar a chave não aciona a recriptografia de dados no recurso. Nenhuma ação adicional é necessária do usuário.

Revogar o acesso a chaves gerenciadas pelo cliente

Para revogar o acesso a chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure. Para obter mais informações, consulte Azure Key Vault PowerShell ou Azure Key Vault CLI. Revogar o acesso bloqueia efetivamente o acesso a todos os dados no recurso Foundry Tools, porque a chave de encriptação é inacessível pelas Foundry Tools.

Desativar chaves gerenciadas pelo cliente

Quando desativa chaves geridas pelo cliente, o seu recurso Foundry Tools é então encriptado com chaves geridas pela Microsoft. Para desativar as chaves gerenciadas pelo cliente, siga estas etapas:

  1. Vai ao teu recurso Foundry Tools e depois seleciona Encriptação.
  2. Desmarque a caixa de seleção ao lado de Usar sua própria chave.

Próximos passos

  • Last updated on